Jak používat zabezpečený účet úložiště se službou Azure Functions

V tomto článku se dozvíte, jak připojit aplikaci funkcí k zabezpečenému účtu úložiště. Podrobný kurz o tom, jak vytvořit aplikaci funkcí s omezeními příchozího a odchozího přístupu, najdete v kurzu Integrace s virtuální sítí . Další informace o azure Functions a sítích najdete v tématu Možnosti sítí Azure Functions.

Omezení účtu úložiště na virtuální síť

Když vytvoříte aplikaci funkcí, vytvoříte nový účet úložiště nebo propojíte s existujícím účtem. V současné době podporují vytváření aplikací funkcí s existujícím zabezpečeným účtem úložiště jenom nasazení ARM a nasazení Bicep.

Poznámka:

Zabezpečení účtu úložiště se podporuje pro všechny úrovně v plánech Dedicated (App Service) i Elastic Premium. Plány Consumption v současné době nepodporují virtuální sítě.

Seznam všech omezení účtů úložiště najdete v tématu Požadavky na účet úložiště.

Zabezpečené úložiště během vytváření aplikace funkcí

Aplikaci funkcí můžete vytvořit společně s novým účtem úložiště zabezpečeným za virtuální sítí, která je přístupná prostřednictvím privátních koncových bodů. Následující odkazy ukazují, jak tyto prostředky vytvořit pomocí webu Azure Portal nebo pomocí šablon nasazení:

Azure Portal

Dokončete následující kurz a vytvořte novou aplikaci funkcí zabezpečený účet úložiště: Použití privátních koncových bodů k integraci Azure Functions s virtuální sítí.

Šablony nasazení

K vytvoření zabezpečené aplikace funkcí a prostředků účtu úložiště použijte soubory Bicep nebo šablony Azure Resource Manageru (ARM). Když vytvoříte zabezpečený účet úložiště v automatizovaném nasazení, musíte nastavit vnetContentShareEnabled vlastnost webu, vytvořit sdílenou složku jako součást nasazení a nastavit WEBSITE_CONTENTSHARE nastavení aplikace na název sdílené složky. Další informace, včetně odkazů na ukázková nasazení, najdete v tématu Zabezpečená nasazení.

Zabezpečené úložiště pro existující aplikaci funkcí

Pokud máte existující aplikaci funkcí, nemůžete přímo zabezpečit účet úložiště, který aplikace aktuálně používá. Místo toho musíte stávající účet úložiště vyměnit za nový zabezpečený účet úložiště.

1. Povolení integrace virtuální sítě

Předpokladem je povolení integrace virtuální sítě pro vaši aplikaci funkcí.

1. Zvolte aplikaci funkcí s účtem úložiště, který nemá povolené koncové body služby ani privátní koncové body.

2. Povolte integraci virtuální sítě pro vaši aplikaci funkcí.

2. Vytvoření zabezpečeného účtu úložiště

Nastavení zabezpečeného účtu úložiště pro vaši aplikaci funkcí:

1. Vytvořte druhý účet úložiště. Bude to zabezpečený účet úložiště, který bude vaše aplikace funkcí používat. Můžete také použít existující účet úložiště, který služba Functions ještě nepoužívá.

2. Zkopírujte připojovací řetězec pro tento účet úložiště. Tento řetězec budete potřebovat později.

3. Vytvořte sdílenou složku v novém účtu úložiště. Zkuste použít stejný název jako sdílená složka v existujícím účtu úložiště. Jinak budete muset zkopírovat název nové sdílené složky, abyste mohli později nakonfigurovat nastavení aplikace.

4. Nový účet úložiště zabezpečte jedním z následujících způsobů:

   • Vytvoření privátního koncového bodu Když nastavíte připojení privátního koncového bodu, vytvořte privátní koncové body pro file zdroje a blob podsourcy. Pro Durable Functions musíte také vytvářet queue a table podsourcy přístupné prostřednictvím privátních koncových bodů. Pokud používáte vlastní nebo místní server DNS, nezapomeňte nakonfigurovat server DNS tak, aby se přeložil na nové privátní koncové body.

   • Omezte provoz na konkrétní podsítě. Ujistěte se, že jedna z povolených podsítí je ta, se kterou je vaše aplikace funkcí integrovaná. Pečlivě zkontrolujte, jestli má podsíť koncový bod služby microsoft.Storage.

5. Zkopírujte obsah souboru a objektu blob z aktuálního účtu úložiště používaného aplikací funkcí do nově zabezpečeného účtu úložiště a sdílené složky. AzCopy a Průzkumník služby Azure Storage jsou běžné metody. Pokud používáte Průzkumník služby Azure Storage, možná budete muset povolit IP adresu klienta do brány firewall účtu úložiště.

Teď jste připraveni nakonfigurovat aplikaci funkcí tak, aby komunikovali s nově zabezpečeným účtem úložiště.

3. Povolení směrování aplikací a konfigurace

Teď byste měli směrovat provoz vaší aplikace funkcí tak, aby procházel přes virtuální síť.

1. Povolte směrování aplikací pro směrování provozu aplikace do virtuální sítě.

   • Přejděte na kartu Sítě vaší aplikace funkcí. V části Konfigurace odchozího provozu vyberte podsíť přidruženou k integraci virtuální sítě.

   • Na nové stránce zaškrtněte políčko Odchozí internetový provoz ve směrování aplikace.

2. Povolte směrování sdílení obsahu, aby vaše aplikace funkcí komunikovala s vaším novým účtem úložiště prostřednictvím své virtuální sítě.

   • Na stejné stránce zaškrtněte políčko úložiště obsahu v části Směrování konfigurace.

4. Aktualizace nastavení aplikace

Nakonec musíte aktualizovat nastavení aplikace tak, aby ukazovala na nový účet zabezpečeného úložiště.

1. Aktualizujte Nastavení aplikace aplikace funkcí na kartě Konfigurace následujícím postupem:

   Název nastavení	Hodnota	Komentář
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Připojovací řetězec úložiště	Obě nastavení obsahují připojovací řetězec nového zabezpečeného účtu úložiště, který jste si uložili dříve.
   WEBSITE_CONTENTSHARE	Sdílená složka	Název sdílené složky vytvořené v zabezpečeném účtu úložiště, ve kterém se nacházejí soubory nasazení projektu.

2. Výběrem možnosti Uložit uložte nastavení aplikace. Změna nastavení aplikace způsobí restartování aplikace.

Po restartování aplikace funkcí je teď připojený k zabezpečenému účtu úložiště.

Další kroky

Možnosti sítí Azure Functions